查看: 8859|回复: 0
打印 上一主题 下一主题

信息安全管理内容介绍

[复制链接]

58

主题

58

帖子

430

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
430
跳转到指定楼层
楼主
发表于 2016-3-6 10:23:21 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

在ISO27002中,对信息的定义更确切、具体:"信息是一种资产,像其他重要的业务资产一样,对组织具有价值,因此需要妥善保护"。通过风险评估与控制,不但能确保企业持续营运,还能减少企业在面对类似'911事件'之时出现的危机。


网络技术的发展加速了信息的传输和处理,缩短了人们之间的时空距离,方便了交流;同时对信息安全提出了新的挑战。据统计,全球平均20秒就发生一次计算机病毒入侵;互联网上的防火墙大约25%被攻破;窃取商业信息的事件平均以每月260%的速度增加;约70%的网络主管报告了因机密信息泄露而受损失。国与国之间的信息战问题更是关系到国家的根本安全问题。


信息安全已扩展到了信息的可靠性、可用性、可控性、完整性及不可抵赖性等更新、更深层次的领域。这些领域内的相关技术和理论都是信息安全所要研究的领域。国际标准化组织(ISO)定义信息安全是"在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露"。


信息安全一般包括实体安全、运行安全、信息安全和管理安全四个方面的内容。


实体安全是指保护计算机设备、网络设施以及其他通讯与存储介质免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。


运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。


信息安全是指防止信息资源的非授权泄露、更改、破坏,或使信息被非法系统辨识、控制和否认。即确保信息的完整性、机密性、可用性和可控性。


管理安全是指通过信息安全相关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。


美国国家电信与信息系统安全委员会(NTISSC)主席、美国C3I负责人、前国防部副部长Latham D C认为,信息安全(INFOSEC)应包括以下六个方面:


通信安全(COMSEC)
计算机安全(COMPUSEC)
符合瞬时电磁脉冲辐射标准(TEMPEST)
传输安全(TRANSEC)
物理安全(Physical Security)

人员安全(Personnel Security)


综上所述,信息安全的主要内容包括:机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)和有效性(Utility)。


在ISO27000体系中 信息安全主要指信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中,信息的机密性、完整性和可用性不被破坏。


机密性是指确保只有那些被授予特定权限的人才能够访问到信息。信息的机密性依据信息被允许访问对象的多少而不同,所有人员都可以访问的信息为公开信息,需要限制访问的信息为敏感信息或秘密信息,根据信息的重要程度和保密要求将信息分为不同密级。例如,军队内部文件一般分为秘密、机密和绝密三个等级,已授权用户根据所授予的操作权限可以对保密信息进行操作。有的用户只可以读取信息,有的用户既可以进行读操作有可以进行写操作。


信息的完整性是指要保证信息和处理方法的正确性和完整性。信息完整性一方面是指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象;另一方面是指信息处理的方法的正确性,执行不正当的操作,有可能造成重要文件的丢失,甚至整个系统的瘫痪。


信息的可用性是指确保那些已被授权的用户在他们需要的时候,确实可以访问得到所需要信息。即信息及相关的信息资产在授权人需要的时候,可以立即获得。例如,通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用,影响正常的业务运营,这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时恢复。


另外还要保证信息的真实性和不可否认性,即组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

 
QQ在线咨询
售前咨询热线
18622353695
售后服务热线
18902129391
快速回复 返回顶部 返回列表